La privacy e le comunicazioni digitali -...
Transcript of La privacy e le comunicazioni digitali -...
D. Masini – La privacy e le comunicazioni digitali
Firenze, 9 Mag 2008 – e-privacy 2008 1
La privacy e le La privacy e le comunicazioni digitalicomunicazioni digitali
Daniele [email protected]
http://vandali.org/DanieleMasini
Copyright © 2008 Daniele Masini.This program is free software; you can redistribute it and/or modify it under the terms of the GNU General Public License as published by the Free Software Foundation; either version 2 of the License, or (at your option) any later version.This program is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU General Public License (http://www.gnu.org/licenses/gpl.html) for more details.
Progetto Winston Smithhttp://pws.winstonsmith.info
E-privacy 2008E-privacy 2008
D. Masini – La privacy e le comunicazioni digitali
Firenze, 9 Mag 2008 – e-privacy 2008 2
AgendaAgenda
La privacy
La posta elettronica
Protezione delle informazioni
Steganografia e crittografia
GNU Privacy Guard
La posta elettronica cifrata
La gestione delle chiavi
Comunicazioni anonime
D. Masini – La privacy e le comunicazioni digitali
Firenze, 9 Mag 2008 – e-privacy 2008 3
PrivacyPrivacy
Diritto alla riservatezza delle proprie informazioni e comunicazioni personali
D. Masini – La privacy e le comunicazioni digitali
Firenze, 9 Mag 2008 – e-privacy 2008 4
Posta elettronicaPosta elettronica
4
Utilizza protocolli generalmente in chiaro (POP, SMTP, IMAP)
I messaggi di posta elettronica non sono gli analoghi delle lettere in busta chiusa, ma qualcosa di molto simile alle cartoline postali: nessuna riservatezza del messaggio
È possibile inviare e-mail fingendo di essere qualcun altro
D. Masini – La privacy e le comunicazioni digitali
Firenze, 9 Mag 2008 – e-privacy 2008 5
Posta elettronicaPosta elettronica
D. Masini – La privacy e le comunicazioni digitali
Firenze, 9 Mag 2008 – e-privacy 2008 6
Posta elettronicaPosta elettronica
6
È possibile ottenere la riservatezza delle comunicazioni elettroniche via e-mail?
D. Masini – La privacy e le comunicazioni digitali
Firenze, 9 Mag 2008 – e-privacy 2008 7
Protezione delle informazioniProtezione delle informazioni
Meccanismi di protezione delle informazioni (occultamento)
Steganografia (informazione nascosta)
Crittografia (informazione non nascosta)
D. Masini – La privacy e le comunicazioni digitali
Firenze, 9 Mag 2008 – e-privacy 2008 8
Protezione delle informazioniProtezione delle informazioni
crittografia a chiave simmetrica
una sola chiave per cifrare e decifrare
crittografia a chiave asimmetricauna coppia di chiavi: una chiave pubblica ed una privatanon è possibile ricavare una delle due chiavi conoscendone l'altraciò che viene cifrato con una delle due chiavi può essere decifrato solo conoscendo l'altra
funzioni hashla ciratura one-way
firma elettronicagaranzia dell'autenticità e della paternità dei documenti
D. Masini – La privacy e le comunicazioni digitali
Firenze, 9 Mag 2008 – e-privacy 2008 9
CrittografiaCrittografia
Principio di Kerchkoffs: un crittosistema deve essere sicuro anche se il suo funzionamento è di pubblico dominio, con l'eccezione della chiave
Gli algoritmi di cifratura sono pubblici
La chiave è segreta
Sicurezza del sistema di cifratura
Lunghezza della chiave
Dominio e scelta della chiave (attacchi per dizionario, per forza bruta)
D. Masini – La privacy e le comunicazioni digitali
Firenze, 9 Mag 2008 – e-privacy 2008 10
CrittografiaCrittografia
Cifratura e decifratura con chiave simmetrica
10
D. Masini – La privacy e le comunicazioni digitali
Firenze, 9 Mag 2008 – e-privacy 2008 11
CrittografiaCrittografia
Cifratura e decifratura con chiave asimmetrica
11
D. Masini – La privacy e le comunicazioni digitali
Firenze, 9 Mag 2008 – e-privacy 2008 12
Protezione delle informazioniProtezione delle informazioni
Funzioni hash
Cifratura one-way, creazione dell’impronta (digest)
Nessuna chiave
Algoritmi: MD5, SHA, RIPEMD, ...
12
D. Masini – La privacy e le comunicazioni digitali
Firenze, 9 Mag 2008 – e-privacy 2008 13
Protezione delle informazioniProtezione delle informazioni
Cifratura con firma elettronica
13
D. Masini – La privacy e le comunicazioni digitali
Firenze, 9 Mag 2008 – e-privacy 2008 14
Protezione delle informazioniProtezione delle informazioni
Decifratura con firma elettronica
14
D. Masini – La privacy e le comunicazioni digitali
Firenze, 9 Mag 2008 – e-privacy 2008 15
GNU Privacy GuardGNU Privacy Guard
15
Implementazione del protocollo OpenPGP (RFC 2440) con algoritmi liberi
Gestione di chiavi asimmetriche
Generazione chiavi
Impostazione della fiducia (web of trust)
Cifratura delle informazioni
Decifratura delle informazioni
Firma delle informazioni
Verifica della firma apposta alle informazioni
D. Masini – La privacy e le comunicazioni digitali
Firenze, 9 Mag 2008 – e-privacy 2008 16
GnuPG – CaratteristicheGnuPG – Caratteristiche
Keyring (portachiavi)
ID (identificativo univoco di una keypair)Es. 4E72B64D
Compatibile con PGP (vers. 2.0+)
pubblico privato
D. Masini – La privacy e le comunicazioni digitali
Firenze, 9 Mag 2008 – e-privacy 2008 17
Generazione chiaviGenerazione chiavi
gpg --key-gen
Tipi di chiavi (solo firma o anche cifratura)
Lunghezza della keypair
Durata della keypair
Nome e cognome del proprietario e relativo indirizzo di posta elettronica
Passphrase (per la protezione della chiave privata)
D. Masini – La privacy e le comunicazioni digitali
Firenze, 9 Mag 2008 – e-privacy 2008 18
Esempio di chiave pubblicaEsempio di chiave pubblica
-----BEGIN PGP PUBLIC KEY BLOCK-----Version: GnuPG v1.4.1 (GNU/Linux)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VDWE-----END PGP PUBLIC KEY BLOCK-----
D. Masini – La privacy e le comunicazioni digitali
Firenze, 9 Mag 2008 – e-privacy 2008 19
Pubblicazione della chiavePubblicazione della chiave
keyserver
D. Masini – La privacy e le comunicazioni digitali
Firenze, 9 Mag 2008 – e-privacy 2008 20
Posta elettronica cifrataPosta elettronica cifrata
20
È possibile utilizzare i meccanismi crittografici (GnuPG) in maniera automatica con la posta elettronica: le e-mail divengono così analoghe alle lettere in busta chiusa
Per mezzo della firma elettronica si certifica di essere l'autore del messaggio e si garantisce che il messaggio ricevuto non è stato alterato
D. Masini – La privacy e le comunicazioni digitali
Firenze, 9 Mag 2008 – e-privacy 2008 21
Posta elettronica cifrataPosta elettronica cifrata
Evolution + GnuPG(impostazioni)
D. Masini – La privacy e le comunicazioni digitali
Firenze, 9 Mag 2008 – e-privacy 2008 22
Posta elettronica cifrataPosta elettronica cifrata
Evolution + GnuPG(invio e-mail)
D. Masini – La privacy e le comunicazioni digitali
Firenze, 9 Mag 2008 – e-privacy 2008 23
Posta elettronica cifrataPosta elettronica cifrata
Evolution + GnuPG(e-mail cifrata)
D. Masini – La privacy e le comunicazioni digitali
Firenze, 9 Mag 2008 – e-privacy 2008 24
Posta elettronica cifrataPosta elettronica cifrata
Evolution + GnuPG(richiesta passphrase)
D. Masini – La privacy e le comunicazioni digitali
Firenze, 9 Mag 2008 – e-privacy 2008 25
Posta elettronica cifrataPosta elettronica cifrata
Evolution + GnuPG(e-mail firmata)
D. Masini – La privacy e le comunicazioni digitali
Firenze, 9 Mag 2008 – e-privacy 2008 26
Posta elettronica cifrataPosta elettronica cifrata
Evolution + GnuPG(e-mail firmata e cifrata)
D. Masini – La privacy e le comunicazioni digitali
Firenze, 9 Mag 2008 – e-privacy 2008 27
Gestione delle chiaviGestione delle chiavi
Seahorse
D. Masini – La privacy e le comunicazioni digitali
Firenze, 9 Mag 2008 – e-privacy 2008 28
Posta elettronica cifrataPosta elettronica cifrata
Thunderbird + Enigmail + GnuPG(impostazioni)
D. Masini – La privacy e le comunicazioni digitali
Firenze, 9 Mag 2008 – e-privacy 2008 29
Posta elettronica cifrataPosta elettronica cifrata
Thunderbird + Enigmail + GnuPG(invio e-mail)
D. Masini – La privacy e le comunicazioni digitali
Firenze, 9 Mag 2008 – e-privacy 2008 30
Gestione delle chiaviGestione delle chiavi
Thunderbird + Enigmail + GnuPG
D. Masini – La privacy e le comunicazioni digitali
Firenze, 9 Mag 2008 – e-privacy 2008 31
La fiducia nelle chiaviLa fiducia nelle chiavi
Come essere sicuri dell'effettivo proprietario di una chiave pubblica, ovvero, la chiave che riporta il nome di Mario Rossi appartiene effettivamente a Mario Rossi?
Fingerprint (consegnato brevi manu direttamente dal proprietario)
Es. 444A 193A 28C2 2A99 1966 B2A5 4216 2453 4272 1648
Key sign party
Firma della chiave (certificato digitale)
D. Masini – La privacy e le comunicazioni digitali
Firenze, 9 Mag 2008 – e-privacy 2008 32
Comunicazioni anonimeComunicazioni anonime
TOR (http://www.torproject.org)
Mixminion (http://mixminion.net)
D. Masini – La privacy e le comunicazioni digitali
Firenze, 9 Mag 2008 – e-privacy 2008 33
Link utiliLink utili
Steganografiahttp://it.wikipedia.org/wiki/Steganografia
Crittografiahttp://it.wikipedia.org/wiki/Crittografia
GNU Privacy Guardhttp://www.gnupg.org/
GNU Privacy Handbookhttp://www.gnupg.org/gph/en/manual.htmlhttp://www.gnupg.org/gph/en/manual.pdf
Seahorsehttp://www.gnome.org/projects/seahorse
GNU Privacy Assistanthttp://wald.intevation.org/projects/gpa
Enigmailhttp://enigmail.mozdev.org/home/index.php
Certificato digitalehttp://it.wikipedia.org/wiki/Certificato_digitale
E-mail crittografata – Tutorialhttp://www.gxware.net/labs/public_docs/encryptmail.htmlhttp://www.ismprofessional.net/pascucci/documenti/gpg
OpenPGPhttp://www.openpgp.org/index.shtml
Security Awarness for teenshttp://www.hackerhighschool.org/lessons/HHS_it9_Sicurezza_Posta.pdf
Key signing party HowTohttp://www.gnupg.org/howtos/it/keysigning_party.html
Selected Papers in Anonymityhttp://freehaven.net/anonbib/topic.html